AI Honeypots са бъдещето на киберсигурността

Снимка от Carla Quario в Unsplash

Отговорът на заплахите за киберсигурността означава, че една компания трябва да бъде пет стъпки пред хакерите. Капаните за клонинги, авангард в технологията за измама, автоматизират реакцията на заплахи, като измамват измамниците и се борят с AI с AI.

До края на 2024 г. имаше 240 830 живи уязвимости и експозиции на киберсигурност (CVE): Това са само публично разкритите уязвимости и може да има много повече. През първата половина на 2024 г. нова обща идентификация на CVE представлява 30% увеличение , потенциално оставяйки широко отворени врати за киберпрестъпна експлоатация. Появата на AI технологии само добавя към този списък, като киберпрестъпниците използват Generative AI, за да упълномощят своите вериги за атаки. В резултат на пропуски в сигурността и напреднали атаки, зашеметяващо 95% от бот атаките остават незабелязани. Има и a 19% увеличение на ръчен/човек атаки; ръчните атаки често са сложни и се състоят от няколко части, което прави откриването предизвикателство.

Организации по света стоят пред пропаст. Справянето с това несравнимо сложно ниво на кибератака доведе до пропуск в разузнаването. Като такова, цунамито от нулев ден и сложни подвизи изисква усъвършенстван подход.

Тук разглеждаме как авангардът в задвижваната от изкуствен интелект технология за измама, капани за клонинги, ще помогне на фирми от всякакъв размер постоянно да защитават и укрепват своите системи и да намалят риска от успешна кибератака.

Капани за клонинги, борба с AI с AI

Ново дете в областта на сигурността е в блока: капаните за клонинги са хищници от следващо поколение, които са на път да обърнат масата на киберпрестъпниците. Това е по-малко нов тип медена гърне, а по-скоро квантов скок в технологията за измама за залавяне дори на най-упоритите и уклончиви нападатели. Капаните за клонинги са дълбоко интегрирани със защитна стена и осигуряват управлявана от AI интелигентност за защита на суперцели, борейки се с AI с AI.

Капаните за клонинг също предоставят важни данни за цялата система за киберсигурност и повишават кибер устойчивостта на клиента. Една от най-мощните характеристики на капана за клониране е динамичното използване на данни в реално време. Тази динамика позволява данните от защитната стена да бъдат използвани незабавно, AI машината на капана за клонинг се учи от данните от защитната стена, за да идентифицира незабавно атака и да защити защитната стена – спирайки атака, преди да се е превърнала в инцидент.

Бъдещите разработки на капани за клонинги включват управлявано от AI „моделиране“, използвано за генериране на атаки за идентифициране на слабости в защитните стени и за обучение на защитен AI.

Обединяване на данни, AI и интеграция на защитна стена – тайният сос на капаните за клонинги

Непрекъснатите иновации в методите за кибератаки изискват подобен иновативен подход за откриване и предотвратяване. Централната опора, към която се обръща дигиталния свят, са данните. Следователно следващото поколение технологии за измама трябва да могат да оптимизират използването на данни. Точно това правят капаните за клонинги.

Капаните за клонинги са част от широка екосистема за киберсигурност: капани, защитни стени, данни и екип за киберсигурност/SOC (Оперативен център за сигурност). Този екосистемен подход осигурява изключителни резултати, нивата на откриване са подобрени с до десет пъти средната за пазара.

Капаните за клонинги служат като входни врати за ценни данни, създавайки актуални емисии на източници на злонамерени атаки, странни URL модели, необичайни сигнатури на заявки за честота, клиентски географски задействания и поведенчески промени в системата. Цялата тази информация се доставя до основната платформа за киберсигурност, която съпоставя данните от honeypots с обичайните заявки и информация от над 100 източника: данни с отворен код, собствени източници като бази данни на известни нападатели и дори тъмната мрежа, която може да предостави жизненоважна информация за атака. С всички тези събрани данни, основната система е в състояние да реши какво представлява атака и какво не, и пакетира тези решения в канал за заплаха за защитни стени. Данните от стотици, дори хиляди прихващания се използват за формиране на сложна мрежа от интелигентни прозрения, които се използват за идентифициране на възникващи заплахи, нулеви дни и сложни атаки от няколко части. Интегрирането на капани за клонинг със защитна стена е предназначено да осигури автоматизиран отговор на всички видове заплахи чрез използване на силата на AI и данни в реално време.

Обединяването на данни е в основата на успеха на капана за клониране при откриване на атаки. Екипът по сигурността обаче е друга съществена част от успеха. След като примамката е настроена с помощта на най-примамливите данни и системата е закалена, екипът по сигурността може да изчака атаката да започне. Веднъж открита, платформата за киберсигурност споделя данните със защитната стена и останалата част от инфраструктурата на компанията, а защитната стена автоматично блокира хакера. Вашият вътрешен екип по сигурността или SOC използва тези сигнали, за да отговори на атаката, като затваря пътищата, които могат да доведат до инфекция с ransomware, пробиви на данни и други събития, свързани с киберсигурността. Междувременно капанът пуска хакера вътре, разкривайки цялата му дълбочина, така че да можете да изучавате поведението му.

Текущото разузнаване на заплахите, генерирано от капани за клонинги, предоставя данните, необходими за създаване на стабилна стратегия за киберсигурност и за актуализиране и адаптиране на политиките въз основа на обратна връзка за капани за клонинги.

Капаните за клонинги извеждат техниката на примамка до нови нива на реакция, справяйки се с последиците от атаката чрез автоматично отстраняване и самолечение. Използването на автоматизация, откриването и разрешаването на кибер заплахи не изисква пряка човешка намеса, което премахва човешката грешка и намалява времето за разрешаване на заплахите.

Също така разузнаването, генерирано от прихващанията за клонинги, осигурява документацията, необходима на одиторите, за да докажат, че дадена компания използва стабилни мерки за сигурност.

Ами ако капанът за клонинг бъде разкрит успешно?

Никой не трябва да може да разгадае капана; капаните за клонинг обаче трябва да бъдат откриваеми, тъй като неоткриваем honeypot може да накара хакерите да открият, че това е капан. Напротив, те канят хакера да влезе. Разбира се, капаните за клонинги трябва да са близки до реалността и достатъчно сложни, така че цялата концепция да работи, като предоставя информация за техниките на хакера, а не просто да ги разсейва. В сценарий, при който хакер е успял да проникне в системата за клониране, екипът за вътрешна сигурност или SOC ще получи предупреждение. Докладът предоставя пълни подробности за атаката, предоставяйки на екипа представа за метода на атаката, за да позволи обратно инженерство на атаката. Събраната информация ще бъде използвана за допълнително укрепване на системата срещу бъдещи атаки. Самият капан за клонинг, след като бъде хакнат, може или да остане непроменен - в очакване на следващата "жертва" - или да бъде защитен от защитна стена, ако желаете.

Въпрос, който може да ви хрумне е: „Ами ако законен потребител, като служител, попадне в капан за клонинг?“ Служителите и законните потребители почти не могат да взаимодействат с капан за клонинг. С други думи, въпреки че капаните за клонинги се маскират като стандартни услуги, тяхното уникално позициониране означава, че обикновените клиенти рядко ще се натъкнат на тях без предварително знание. Хакерите обаче вероятно ще се натъкнат на тях, докато търсят уязвимости.

Капани за клонинги и фалшиви положителни резултати

Фалшивите положителни сигнали са сериозен проблем за екипа по сигурността. Фалшивите положителни сигнали не само губят време, но блокират обикновените потребители и създават умора от фалшиви сигнали, което може да доведе до пропускане на истински сигнали за атака. Следното въздействие също може да доведе до понижен морал на служителите. Капаните за клонинги предотвратяват фалшиви положителни сигнали, тъй като законните потребители не могат нормално да навигират до клонирания екземпляр – крайният резултат е, че разузнавателните данни, извлечени от капаните за клонинги, са от истински нападатели, ангажиращи капаните за клонинги; следователно тези данни са богати на IoC на участниците в заплахите (индикатори за компрометиране). В резултат на това, чрез комбиниране на разузнаване за прихващане на клонинги с известни източници на данни за заплахи, фалшивите положителни резултати се елиминират ефективно.

Как задвижваната от AI сигурност подкрепя професионалистите по човешка сигурност

Капаните за клонинги предоставят на екипа по сигурността мощен инструмент за автоматизиране на откриването и разрешаването на кибернетични заплахи. Те обаче са подсилени от специалист по сигурността. Администраторите на прихващания за клонинг предоставят насоки за конфигуриране и всеки път, когато прихващането за клонинг генерира доклад за инцидент, те интерпретират резултатите, влизат в системите, задават по-строги политики, използват различни подходи за конфигуриране и гарантират, че конфигурационните скриптове отразяват текущите предизвикателства. Автоматизираният отговор на кибернетични заплахи чрез капани за клонинги позволява на екипите по сигурността да използват знанията си в индустрията, за да работят върху стратегическата защита на системата.

Упълномощаване на откриване и реагиране с помощта на капани за клонинги

Капаните за клонинги са резултат от продължаващи изследвания и разработки. Учените по киберсигурност използват дълбоките си познания за повърхността на заплахата, за да имитират хакери и да разберат техните девиантни тактики. Това разузнаване на заплахи позволи на изследователите да създадат капани за клонинги, идеално проектирани да уловят хакерската си плячка и да извлекат тактиката им. Използвайки комбинация от AI и човешки опит, капаните за клонинги могат да спрат най-упоритите и сложни кибератаки и да останат пет стъпки пред киберпрестъпниците.